Важно Уязвимости DLE

Mmaks

Местный житель
28 Май 2015
263
285
63
Патч устраняющий проблемы с криптографической устойчивостью скрипта
В двадцатых числах августа вышел патч безопасности, устраняющий проблемы с криптографической устойчивостью скрипта (предсказуемость кода).

Данный патч актуален для всех версий DLE
Степень опасности - высокая

Установка патча:
  • Скопировать содержимое папки на свой сервер, сохряняя пути.

Скачать патч можно на сайте разработчиков DLE либо у нас на форуме.
 

Вложения

  • dle96_path.zip
    3 KB · Просмотры: 7

Mmaks

Местный житель
28 Май 2015
263
285
63
Патч DLE, устраняющий недостаточную фильтрацию данных в парсере шаблонов
Обновляйтесь господа вебмастера.

Найдена критическая уязвимость "Недостаточная фильтрация данных в парсере шаблонов"

Актуально для всех версий скрипта.
Степень опасности - высокая!

Скачать патч можно на офф сайте DLE и здесь
smile-10.gif
 

Вложения

  • dle97_path_2.zip
    3,1 KB · Просмотры: 5
  • Like
Реакции: Sam Jack

Mmaks

Местный житель
28 Май 2015
263
285
63
Патч безопасности для DataLife Engine версии 9.7
Очередной патч безопасности для движка DLE выпущен разработчиками.

Внимание: данный патч необходим только для версии DataLife Engine 9.7


В патче изменен алгоритм загрузки картинок. В результате этого DLE 9.7 лишилась возможности размещения анимированных картинок, которые при загрузке становятся статичными.
Как говорят разработчики, сделано это с целью повышения безопасности, связанной с фильтрацией вредоносного кода в картинках. В настоящий момент это пока единственный способ борьбы с вредоносным кодом в анимированном gif формате.

Для более ранних версий DLE данный патч не актуален.
Загрузить патч можно как с сайта разработчиков, так и здесь, в атаче поста.
 

Вложения

  • dle97_path.zip
    53,4 KB · Просмотры: 5

Mmaks

Местный житель
28 Май 2015
263
285
63
Общие проблемы уязвимости сайтов на DLE
Сегодня открываю общую тему проблем уязвимостей сайтов на DLE различных версий.

На днях ко мне обратились друзья с подозрением на взлом сайта DLE линейки 9.5. Внешняя проблема была в том, что Яндекс выкинул главную страницу сайта по основному ключу. В результате стала релевантной внутренняя страница, и соответственно она была уже не в ТОП 10, а гораздо ниже. Сайт - один из лидеров в своем сегменте, и разумеется со старыми сайтами ничего не происходит просто так.

Оказалось, что при заходе с мобильного оператора трафик перенаправляется на сайты для взрослых, но так как девятая линейка DLE более защищенная от вломов по сравнению со своими более древними аналогами, то было интересно покопаться в причинах проникновения злоумышленников, и узнать каким образом был размещен вредоносный код.

Оказалось, что на файлы \engine\data\dbconfig.php и \engine\data\config.php стояли права на запись 666, что недопустимо для данного движка.
Вредоносный код был прописан в файле dbconfig.php

Лечение:
  • Сменить пароли на БД
  • Сменить пароли в панель управления хостингом
  • Сменить админские пароли
  • Залить оригинальные файлы dbconfig.php и config.php
  • Установить на них права 644

Не пренебрегайте банальными инструкциями по работе с движком, ведь так из-за халатности и невнимательности сайт теряет позиции и трафик!

Надеюсь, что тема будет не особенно пополняться примерами взлома
smile-10.gif